BCN +34 93 321 10 53 - 

MAD +34 91 781 09 49

Nota Informativa

Protección de datos: brechas de seguridad

[Advertencia: este informe tiene mera finalidad informativa y no constituye en ningún caso opinión jurídica]

¿Cómo afecta la situación generada como consecuencia del coronavirus en materia de protección de datos?

El Reglamento General de Protección de Datos (RGPD) define, de un modo amplio, las violaciones de seguridad de los datos personales como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.” La situación de emergencia generada por el COVID-19 aumenta los riesgos en materia de protección de datos a los que se exponen todas las entidades y organizaciones, circunstancia que conlleva una mayor posibilidad de ser víctimas de ciberataques de todo tipo. Y, por tanto, hoy más que nunca, si cabe, las empresas deben estar alerta ante posibles vulneraciones de derechos en materia de protección de datos.

¿Cómo afecta la suspensión de plazos administrativos a la notificación de una posible brecha de seguridad?

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. La suspensión de los plazos administrativos decretada por el Gobierno, mediante Real Decreto 463/2020, que continua vigente, no afecta a la obligación de notificar las quiebras de seguridad que afecten a datos personales, por lo que los responsables están obligados a notificarlas ante la autoridad competente, en nuestro caso, la Agencia Española de Protección de Datos (AEPD).

¿Cuál es el procedimiento a seguir ante una brecha de seguridad en mi empresa?

Los responsables y encargados de tratamiento deben seguir cumpliendo con sus obligaciones si sufrieran una brecha de seguridad de los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas. Deberán notificar las brechas ante la Autoridad de Control en el plazo de 72 horas. La presentación de esta notificación se realizará de forma telemática a través de la sede electrónica de la AEPD, pudiendo recurrir a la opción de realizar una notificación inicial en el plazo establecido en caso de no disponer de toda información necesaria sobre la brecha. Posteriormente, cuando se disponga de toda la información necesaria, se podrá ampliar la información mediante una notificación adicional.

La única excepción a esta obligación de notificación tendría lugar cuando, conforme al principio de responsabilidad proactiva, el responsable pueda demostrar que la brecha de seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas.

¿Es obligatorio hacer extensiva la notificación de la brecha de seguridad a los interesados?

Esta comunicación a los interesados resulta relevante en periodos de especial vulnerabilidad como en el que nos encontramos actualmente. Existen diversos factores a tener en consideración para decidir si se ha de realizar la comunicación a las personas afectadas:

· Cuáles son las obligaciones legales y contractuales.

· Riesgos que comporta la pérdida de los datos: daños físicos, daños reputacionales, etc.

· Si existe un riesgo razonable de suplantación de identidad o fraude (en función del tipo de información que se ha visto afectada y teniendo en cuenta si la información estaba seudonimizada o cifrada).

· Hasta qué punto la persona afectada puede evitar o mitigar posibles daños posteriores.

Solo cuando sea probable que la brecha de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas el responsable tendrá la obligación de comunicarlo, además de a la autoridad de control, al interesado. Dicha comunicación ha de hacerse lo antes posible, y con lenguaje claro, sencillo y de forma concisa y transparente.

Tanto la notificación a la autoridad de control competente como la comunicación al afectado son obligaciones del responsable del tratamiento, aunque este puede delegar su ejecución en otras figuras, tales como, en su caso, el Delegado de Protección de Datos (DPO).